Har du problemer med at være konform med PCI DSS? Her er nogle råd

At afsikre kortholderes data kan være utroligt svært, men har du prøvet … ikke at opbevare så megen information?

Du vil være overrasket over, hvor effektivt et flabet råd kan være. Organisationer opbevarer tit flere informationer, end de har brug for og gør derved sikkerhed sværere, en den behøver at være. Tag for eksempel primære kontonumre (PANS). I modsætning til kortholderes navn og kortnummer er denne information ikke nær så ofte nødvendig, men organisationer har for vane at indsamle alle tre som en selvfølgelighed og går derfor den ekstra mil for at beskytte noget, de ikke engang har brug for.

At fjerne PANS betyder, at du dramatisk reducerer spændvidden af dit  kortholder informationsmiljø  (CDE) og reducerer arbejdsmængden, du er nødt til at udføre for at være konform med  betalingskortindustriens informationssikkerhedsstandard (PCI DSS). Nogle gange er mindre virkelig mere.

Der er mange andre måder, hvorpå du kan reducere spændvidden af dit CDE og gøre PCI DSS konformitet nemmere. Her er et par af de mest effektive:

Segmentering

Netværk segmentering er processen for at opdele et netvæk i mindre undersektioner og begrænse måderne, som de kan snakke med hinanden på. For at blive anset for at være udenfor gyldighedsområdet af PCI DSS skal et system isoleret på en sådan måde, at CDE ikke er påvirket af et indbrud.

Segmentering

Netværk segmentering er processen for at opdele et netvæk i mindre undersektioner og begrænse måderne, som de kan snakke med hinanden på. For at blive anset for at være udenfor gyldighedsområdet af PCI DSS skal et system isoleret på en sådan måde, at CDE ikke er påvirket af et indbrud.

Segmentering kan opnåes med:

  • Firewalls for at segmentere interne zoner;
  • Switches, som ofte bruges bag en firewall for at segmentere netværkszoner;
  • Luftgab , hvor organisationer bruger separerede netværksforbindelser til forskellige segmenter; og
  • Analoge telefonforbindelser for fuldstændigt at fjerne truslen om brud ind i netværket.

Begrænsning at adgang.

En organisations største svaghed er tit dens egne medarbejdere, så det er vigtigt at implementere adgangskontroller for at garantere, at information kun er tilgængelig for dem, der har brug for den. Det betyder, at færre personer kan få fat i følsomme informationer, hvilket mindsker risikoen for misbrug.

Del af den proces involverer at sikre sig, at systemer kun opbevarer informationer, som er relevante for bestemte opgaver. For eksempel bør du bedømme dine databaser på, hvordan de indsamler indadgående og udadgående trafik. Databaser, som samler al den information, de har brug for, igennem en udadgående kanal bør ikke være forbundne med en indadgående kanal.

Andre måder

  • E-handelssælgere profiterer af at bruge tredjeparts betalingsudbydere. Det sætter en hel sektion af standarden udenfor gyldighedsområdet.
  • Organisationer bør overvejer at opbevare symbolisation, hvor PANs erstattes af symbolske værdier (f.eks. en serie af tilfældige cifre). De kan stadig bruges til at identificere kunden på organisationens netværk, men har ingen værdi for skadelige formål.
  • Hvis din organisation bruger enheder med PIN adgang, så bør du sørge for, at de bruger punkt-til-punkt kryptering. Det konventerer betalingskortsdata til en kode, som forhindrer kriminelle hackere i at opsnappe informationer i transit.

Vedligehold dokumentation

Det er åbenlyst vigtigt at dokumentere dine politikker og procedurer, men det er lige så vigtigt at vedligeholde dem og sørge for, at de fortsat er formelt godkendte. Det kan være tidskrævende og udfordrende, så vi har udviklet vores PCI DSS værktøjskasse til dokumentation  for at gøre det nemmere.

Denne værktøjskasse indeholder en dokument kontrollør, som hjælper dig med at vælge og bearbejde den passende politik, så du kan skabe og tilpasse dokumenter efter behov.

Den understøtter alle spørgeskema til selvvurderinger uagtet din specifikke betalingssituation. Det er fuldt ud på linje med PCI DSS v3.2, så du kan være sikker på, at dine politikker er præcise og konforme med standarden.

Værktøjskassen indeholder også et sæt af værktøjer til projekt management, såsom en matrix for roller og ansvarsområder, en mangelanalyse og en afgrænsningsguide.

Tag en gratis prøvepakke af vores PCI DSS værktøjskasse til dokumentation >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.